Loi 64 : le signalement et la gestion des incidents de confidentialité dans le secteur public
Le 21 septembre 2021, l’Assemblée nationale a adopté le Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après, la « Loi 64 », également désignée comme étant la « Loi 25 »), qui a pour effet de modifier plusieurs lois en matière de protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics[1] (ci-après, la « Loi sur l’accès »).
Comme indiqué dans un billet précédent, les dispositions de la Loi 64 introduisent notamment depuis le 22 septembre 2022, pour les organismes publics et municipaux, un régime de signalement obligatoire des incidents de confidentialité impliquant des renseignements personnels. L’article 63.9 de la Loi sur l’accès définit très largement la notion « d’incident de confidentialité » comme étant l’accès, l’utilisation ou la communication non autorisés par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Le nouvel article 63.8 de la Loi sur l’accès prévoit désormais qu’un organisme qui « a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient » a l’obligation de prendre toutes les mesures raisonnables afin de mitiger les risques qu’un préjudice ne soit causé et éviter que d’autres incidents de même nature ne se produisent. Il importe de mentionner que cette obligation s’applique également aux renseignements personnels détenus par des tiers pour le compte de l’organisme, par exemple dans le cadre de contrats de services. Ainsi, des dispositions encadrant la notification des incidents de confidentialité par le fournisseur de services à l’organisme peuvent être prévues contractuellement.
En plus, si l’organisme juge que l’incident présente un risque de préjudice sérieux[2], il doit aviser la Commission d’accès à l’information (CAI) et toute personne concernée par les renseignements personnels impliqués dans l’incident, sauf exception[3]. Il peut également aviser toute personne ou organisme susceptible de réduire le risque, sous certaines conditions. La loi ne prévoit pas de délai pour faire ce signalement et mentionne simplement que l’organisme doit agir « avec diligence »[4]. Dans tous les cas, l’organisme doit tenir un registre des incidents de confidentialité.
À noter qu’un Règlement sur les incidents de confidentialité est entré en vigueur le 29 décembre 2022, afin de préciser la teneur du registre des incidents de confidentialité et les modalités des avis devant être transmis par l’organisme en lien avec ses nouvelles obligations.
[1] RLRQ, C. A-2.1.
[2] En vertu de l’art. 63.10 de la Loi sur l’accès, les principaux éléments que l’organisme doit considérer dans le cadre de l’évaluation du « risque de préjudice sérieux » sont : la sensibilité du renseignement concerné, les conséquences appréhendées et la probabilité qu’il soit utilisé à des fins préjudiciables.
[3] L’art. 63.8 al. 3 de la Loi sur l’accès prévoit que : « Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois ».
[4] Loi sur l’accès, art. 63.8 al. 2.